AI·보안·테스트 기술사 답안 세트 2

AI·보안·테스트 기술사 답안 — 세트 2

DSLM · PINN · 기밀컴퓨팅 · SW탄소집약도 · 자율운항선박 · SP인증 · SW대가·AI · 리스크기반테스트 · 고통의피라미드 · 선제적사이버보안 | 정보관리기술사 대비

도메인 특화 언어 모델 (DSLM: Domain-Specific Language Model)

특정 분야 전문 LLM · 범용 LLM의 환각·비용 한계 극복 · 2024~2025 핵심 트렌드

개념

정의: 의료·법률·금융·제조 등 특정 도메인 데이터로 사전학습 또는 파인튜닝한 언어 모델. 범용 LLM(GPT·Claude) 대비 해당 분야 전문 용어·규정·맥락에 특화되어 높은 정확성과 낮은 환각률을 달성

등장 배경: GPT-4 등 범용 LLM의 의료 오진·법률 오답·금융 오류 등 환각(Hallucination) 문제가 고위험 도메인에서 치명적으로 작용함에 따라 도메인 특화 필요성 대두

개념도 — DSLM 구축 전략 4단계

전략 선택
사전학습/파인튜닝
/RAG/LoRA

→

도메인 데이터
수집·정제
전문가 검수

→

학습·정렬
RLHF/RLAIF
Constitutional AI

→

평가·배포
도메인 벤치마크
지속 모니터링

주요 구성 요소 — "사파라로평"

두문자	전략	핵심 내용	대표 모델·사례
사	사전학습 특화	도메인 말뭉치로 처음부터 학습. 최고 성능이나 최대 비용	BioMedLM(의료), BloombergGPT(금융), LawGPT(법률)
파	파인튜닝 (SFT)	범용 LLM 기반 도메인 데이터로 추가 학습. 비용 효율적 접근	Med-PaLM2(Google), ClinicalBERT
라	RAG 결합	도메인 지식 DB + LLM 검색 증강. 실시간 지식 업데이트 가능	의료 EMR + RAG, 법률 판례 + RAG
로	LoRA / PEFT	파라미터 효율적 파인튜닝. 소수 파라미터만 업데이트 → 비용 1/10	LoRA, QLoRA, Adapter, Prefix Tuning
평	도메인 평가	범용 벤치마크 외 도메인 전용 평가셋 필수. 전문가 검수 포함	MedQA(USMLE), LegalBench, FinBen

범용 LLM vs DSLM 비교

범용 LLM vs DSLM

범용 LLM: 광범위 지식, 높은 환각률, 높은 비용, 최신성
DSLM: 도메인 정확도↑, 환각률↓, 규정 준수, 소형화 가능

한국 사례: 의료: Kakao Healthcare LLM, 법률: 로앤컴퍼니, 금융: KB금융 KoFinLM
EU AI Act: 고위험 AI에 DSLM 정확성 요구

도전 과제 및 미래 방향

데이터 부족: 의료·법률 전문 데이터 수집·라이선스 문제
지식 업데이트: 새 가이드라인·판례 반영 지연 → RAG 결합 필수
편향: 특정 기관 데이터 편향 → 다양성 확보 필요
미래: 소형 DSLM(SLM) + 온디바이스 배포

💡 킬러 문장: "DSLM은 '무엇이든 아는 AI'보다 '하나를 제대로 아는 AI'의 필요성에서 탄생했다. 고위험 도메인에서는 넓은 지식보다 정확한 전문성이 생명을 구한다."

물리 정보 신경망 (PINN: Physics-Informed Neural Networks)

물리 법칙을 손실함수에 내장한 신경망 · 과학·공학 AI의 핵심 · 2019 Raissi 등 제안

개념

정의: 편미분방정식(PDE)·상미분방정식(ODE) 등 물리 법칙을 신경망의 손실함수(Loss Function)에 직접 내장하여 학습하는 신경망 아키텍처. 데이터가 부족한 과학·공학 분야에서 물리 제약을 이용해 일반화 성능 향상

핵심 아이디어: 일반 NN은 데이터만으로 학습 → PINN은 데이터 손실 + 물리 잔차 손실(PDE 위반 정도) 동시 최소화

개념도 — PINN 손실함수 구조

Total Loss = λ₁·L_data + λ₂·L_physics + λ₃·L_boundary

L_data
측정 데이터와
예측값의 오차

L_physics
PDE 잔차
(물리 법칙 위반도)

L_boundary
경계·초기조건
만족도

주요 구성 요소 — "신손콜로경"

두문자	요소	핵심 내용	구현 방법
신	신경망 구조	입력: 시공간 좌표 (x,y,z,t). 출력: 물리량(온도·압력·속도). 주로 완전연결 DNN	MLP, ResNet, Fourier Feature Network
손	손실함수 설계	데이터 손실 + 물리 잔차 손실 + 경계조건 손실의 가중 합	NTK 기반 자동 가중치 조정, Adaptive λ
콜	콜로케이션 포인트	PDE 잔차를 계산할 내부 포인트 샘플링. Latin Hypercube·랜덤·적응적 샘플링	내부 포인트 1000~10000개 배치
로	자동 미분	신경망 출력의 편미분을 자동 계산 → PDE를 코드로 직접 표현 가능	PyTorch autograd, JAX grad
경	경계·초기조건	물리 시스템의 경계값·초기값을 별도 손실로 강제 적용	Hard/Soft 경계조건 처리 방식

일반 NN vs PINN 비교 및 적용 사례

일반 NN vs PINN

일반 NN: 데이터만 의존 → 소량 데이터 시 과적합, 물리 제약 위반 가능
PINN: 물리 법칙이 정규화 역할 → 소량 데이터로도 물리적으로 타당한 예측

한계: 고차원 PDE에서 훈련 불안정, 멀티스케일 문제 수렴 어려움
개선: DeepXDE, NeuralPDE.jl 라이브러리 활용

적용 사례

유체역학: Navier-Stokes 방정식 → 항공기·선박 설계
열전달: 반도체 열분포 예측 (데이터 희소 환경)
의료: 심장 혈류(혈역학) 시뮬레이션
지진: 파동방정식 기반 지진파 역산
구조물: 교량·건물 손상 감지 (SHM)

💡 킬러 문장: "PINN은 데이터와 물리 법칙의 결혼이다. 아인슈타인의 방정식과 딥러닝의 학습 능력을 결합하여, 물리학이 없었다면 절대 얻을 수 없었던 일반화 능력을 달성한다."

기밀 컴퓨팅 (Confidential Computing)

처리 중 데이터를 TEE로 보호 · CCC(기밀컴퓨팅 컨소시엄) · 클라우드 신뢰 문제 해결

개념

정의: 데이터를 사용(처리) 중에도 암호화된 상태로 보호하는 기술. 하드웨어 기반 신뢰 실행 환경(TEE: Trusted Execution Environment)을 이용해 클라우드 공급자·OS·관리자도 접근 불가능한 격리 실행 공간 제공

3가지 보호 상태: 저장 중(At-rest) + 전송 중(In-transit) + 처리 중(In-use) — 기밀 컴퓨팅이 In-use를 최초로 해결

개념도 — TEE 보호 계층

클라우드 인프라 (CSP 관리 영역) — 접근 불가

TEE (Trusted Execution Environment) — 하드웨어 격리

Enclave 코드
암호화 실행

Enclave 메모리
암호화 보호

원격 증명(Remote Attestation)으로 TEE 무결성 검증

주요 구성 요소 — "티원격격격"

두문자	요소	핵심 내용	구현 기술
티	TEE 하드웨어	CPU 내 격리된 실행 공간. OS·하이퍼바이저도 내부 메모리 접근 불가	Intel SGX·TDX, AMD SEV, ARM TrustZone
원	원격 증명	TEE가 진짜 신뢰 환경임을 암호학적으로 원격 검증	Intel DCAP, EPID 기반 증명서
격	격리 메모리 (EPC)	Enclave Page Cache — OS도 읽을 수 없는 암호화 메모리 영역	Intel SGX: EPC 최대 512MB~256GB
격	격리 실행	Enclave 내 코드만 평문 데이터 접근. 외부에서는 암호화 상태만 관찰	Azure Confidential VM, AWS Nitro Enclave
격	격리 컨테이너	컨테이너·VM 전체를 TEE로 보호. 기존 앱 수정 없이 기밀 컴퓨팅 적용	Confidential Container (K8s)

활용 사례 및 AI 기밀 컴퓨팅

주요 적용 분야

금융: 다기관 연합 분석 — 데이터 비공개로 공동 사기 탐지
의료: 병원 간 환자 데이터 공유 없는 연합학습
정부: 기밀 데이터 클라우드 처리 (FIPS 140 연계)
ML: 모델 IP 보호 — 추론 시 가중치 노출 방지

기존 암호화 vs 기밀 컴퓨팅

기존: 저장·전송 암호화 → 처리 시 반드시 복호화 필요 → 메모리 노출
기밀 컴퓨팅: 처리 중에도 암호화 유지 → 메모리 스니핑 방지
연합학습 결합: FL + 기밀 컴퓨팅 = 완전한 프라이버시 보장 AI
CCC: Linux Foundation 산하 (MS·Google·Intel 주도)

💡 킬러 문장: "기밀 컴퓨팅은 '클라우드를 믿지 않아도 클라우드를 쓸 수 있게' 해준다. TEE는 하드웨어가 소프트웨어의 신뢰를 대신하는 영역이다."

소프트웨어 탄소 집약도 (SCI: Software Carbon Intensity)

SW 단위 기능당 탄소 배출량 측정 표준 · GSF(Green Software Foundation) · ISO/IEC 21031

개념

정의: 소프트웨어 시스템이 수행하는 단위 기능당 탄소 배출량을 측정하는 표준 지표. Green Software Foundation(GSF)이 제안하고 ISO/IEC 21031로 표준화 진행 중

핵심 공식: SCI = (E × I + M) / R
E: 에너지 소비(kWh), I: 탄소 집약도(gCO₂/kWh), M: 하드웨어 내재 탄소, R: 기능 단위(요청수·사용자수·API호출)

개념도 — SCI 구성 요소

운영 탄소 (E × I)

CPU·GPU·메모리 전력 소비
× 그리드 탄소 집약도
재생에너지 비율에 따라 변동

내재 탄소 (M)

HW 제조·운송·폐기 탄소
수명 기간 배분 (amortized)
클라우드는 공유로 분산

주요 구성 요소 — "에탄내기최"

두문자	요소	핵심 내용	감축 전략
에	에너지 효율화	알고리즘 최적화·코드 효율화로 CPU 사이클 감소	Green Coding 패턴, 불필요 폴링 제거
탄	탄소 인식 컴퓨팅	그리드 탄소 집약도가 낮은 시간대·지역에 연산 배치	Carbon-aware SDK, WattTime API
내	내재 탄소 감소	HW 수명 연장·공유·재활용으로 제조 탄소 분산	클라우드 마이그레이션, 서버 수명 연장
기	기능 단위(R) 정의	측정 기준 단위를 명확히 정의. API 호출·사용자 세션·트랜잭션 등	R 정의에 따라 SCI 값이 크게 달라짐
최	탄소 최소화	SCI를 KPI로 설정하여 SW 아키텍처 설계 시 탄소 효율 고려	Serverless(유휴 제거), 캐싱, 배치 처리

그린 소프트웨어 원칙 및 AI 탄소 비용

그린 소프트웨어 핵심 원칙 (GSF)

탄소 효율성: 최소 탄소로 최대 기능
에너지 효율성: 최소 에너지로 최대 기능
탄소 인식: 언제·어디서 실행할지 선택
HW 효율성: 내재 탄소 최소화
측정: SCI로 정량화

AI 훈련·추론의 탄소 비용

GPT-3 훈련: ~552톤 CO₂ (왕복 뉴욕-서울 비행 300회)
LLM 추론: ChatGPT 1회 질의 ≈ Google 검색 10배 에너지
해결책: 모델 경량화(Distillation·Quantization), 효율적 아키텍처(Mixtral MoE)
DSLM 연계: 소형 DSLM이 범용 LLM보다 탄소 효율 수십 배 우수

💡 킬러 문장: "SCI는 소프트웨어에 탄소 라벨을 붙이는 시도다. 코드 한 줄이 지구에 미치는 영향을 측정하고 책임지는 것이 그린 소프트웨어 엔지니어링이다."

IMO 자율운항선박 자율화 등급 (MASS)

국제해사기구 4단계 자율화 분류 · 2024 IMO MASS Code 채택

개념

정의: 국제해사기구(IMO)가 정의한 자율운항선박(MASS)의 자율화 수준 4단계 분류 체계. 선박의 자율화 정도와 선원 개입 수준에 따라 등급 구분

배경: SAE 자율주행 레벨(0~5)처럼 선박 자율화도 표준화 필요. 2024년 IMO가 비구속적 MASS Code 채택, 2028년 강제 발효 목표

개념도 — IMO MASS 4단계 자율화 등급

등급 4 (완전 자율): 선원 없음, 원격 개입 없음. AI가 모든 의사결정공격자 고통 최대

등급 3 (원격제어): 선원 없이 원격운항센터에서 완전 제어. 선박은 무인, 육상 제어

등급 2 (자동화+선원): 최소 선원 승선, 일부 기능 자동화. 선원은 의사결정 보조

등급 1 (의사결정지원): 선원 전원 승선. AI·자동화가 의사결정 지원. 현재 상용화 단계

주요 구성 요소 — MASS 핵심 기술 "항충통통안"

두문자	기술	핵심 내용	관련 표준
항	자율 항법	GNSS·AIS·레이더·LiDAR 융합으로 자율 경로 계획·충돌 회피	COLREGS(충돌 예방 규칙) 준수 AI
충	충돌 회피	COLREGS 기반 충돌 위험 탐지·대응. 다른 선박·부표와의 안전 거리 유지	e-Navigation, ECDIS 자동화
통	통신 인프라	육상-선박 위성 통신(VSAT·Starlink). 원격제어용 저지연 링크	IMO MSC-FAL.1/Circ.3 사이버보안
통	통합 선교 시스템	센서·엔진·항법 정보 통합 모니터링. AI 기반 이상 탐지·예지 보전	ISO 19847 선박 데이터 전송
안	안전·사이버보안	ISO 21434·IMO 지침 연계. 원격제어 해킹 방지. GPS 스푸핑 대응	ISO/IEC 21434, IMO MSC-FAL

SAE 자율주행 vs IMO MASS 비교 및 한국 동향

SAE 레벨 vs IMO MASS 등급

공통점: 자율화 수준을 단계적으로 분류, 인간 개입 감소 순
SAE L3 ≈ MASS 등급 2: 조건부 자동화, 인간 감독
SAE L4 ≈ MASS 등급 3~4: 고도/완전 자동화
책임: 육상 원격운항센터가 선박법상 책임 소재 복잡

한국 MASS 동향

현대중공업: 아비커스(Avikus) — 세계 최초 대형 LNG선 대양 횡단 자율항해 성공 (2022)
삼성중공업: SAS(Samsung Autonomous Ship) 시스템
한국해양수산부: 2031년 등급 3 상용화 목표
제도: 선박법·선원법 개정 필요

💡 킬러 문장: "자율운항선박은 바다의 자율주행차다. IMO MASS 4단계는 선원이 없는 선박이 안전하게 항해할 수 있음을 국제 사회가 인정하는 여정이다."

SW 프로세스 품질인증 (SP인증, 2025년 개선)

한국 CMMI 대응 SW 개발 품질 인증 · NIPA 주관 · 2025 프레임워크 개편

개념

정의: 국내 SW 기업의 소프트웨어 개발 프로세스 품질 수준을 심사·인증하는 제도. NIPA(정보통신산업진흥원) 주관. CMMI의 한국형 표준으로, 공공 SW 사업 입찰 시 가점 부여

2025 개선: 기존 단계별(CMMI 모방) 구조에서 역량 중심 프레임워크로 개편. AI·클라우드·애자일 등 신기술 반영 강화

개념도 — SP인증 2025 프레임워크

역량 영역 (3대 영역)

SW 개발
요구~배포 수명주기

지원·관리
품질·형상·리스크

조직·개선
프로세스 개선·혁신

1등급
기본 수행

→

2등급
관리 수행

→

3등급
정의 수행

→

GS+인증
우수기업

2025 신설·강화 항목

영역	기존 SP인증	2025 개선사항	반영 이유
AI 개발	항목 없음	AI 모델 개발 수명주기, 데이터 품질, 편향 관리 항목 신설	ISO 42001 연계, AI 사업 증가
애자일	폭포수 중심	스프린트·칸반·CI/CD 기반 애자일 프로세스 인정	현업 개발 방식 반영
클라우드	온프레미스 중심	클라우드 네이티브 배포, IaC, DevSecOps 항목 추가	공공 클라우드 전환 가속
보안	별도 심사	DevSecOps 통합, SBOM 제출 의무화	공급망 보안 강화 추세

CMMI vs SP인증 비교

CMMI vs SP인증

CMMI: 미국 SEI 개발, 글로벌 인지도 높음, Level 1~5, 비용 高
SP인증: 한국 NIPA 주관, 국내 공공사업 특화, 1~3등급, 비용 低

한국 실무: CMMI Level 3 ≈ SP 3등급 수준으로 업계 인식

공공 SW 사업 연계

입찰 가점: SP인증 보유 시 기술평가 가점 (등급별 차등)
GS인증 연계: SW 제품 품질(GS) + 프로세스 품질(SP) 병행
SBOM 의무화: 2025부터 공공사업 SBOM 제출 의무화와 SP 연계

💡 킬러 문장: "SP인증 2025 개선의 핵심은 'AI와 애자일을 품질의 대상으로 인정'한 것이다. 전통 폭포수 심사 틀에서 벗어나 현업 SW 개발 현실을 반영한 전환점이다."

SW 사업 대가산정 가이드 — AI 도입 부분

과학기술정보통신부 · 2024년 AI 대가산정 기준 신설 · 공공 AI 사업 정산 기준

개념

정의: 공공기관이 AI 시스템을 도입·개발할 때 적정 대가를 산정하기 위한 정부 가이드라인. 과기정통부가 2024년 기존 SW 대가산정 가이드에 AI 도입 관련 별도 산정 기준을 신설

배경: 기존 SW 대가산정 방식(기능점수·투입공수)이 AI 개발의 특수성(데이터 수집·라벨링·모델 실험·재학습)을 반영 불가

개념도 — AI 사업 대가 구성 요소

AI 개발 대가 = 직접비 + 간접비 + 이윤

데이터 비용
수집·정제·라벨링·구매·증강

모델 개발 비용
실험·학습·검증·GPU 컴퓨팅

SW 개발 비용
API·UI·통합 (기존 방식)

운영·유지 비용
재학습·모니터링·드리프트

AI 대가산정 특수 항목

구분	산정 방법	기존 SW와 차이	유의사항
데이터 수집	건당 단가 × 수량. 공개/구매/직접수집 구분	기존: 해당 항목 없음	저작권·개인정보 비용 포함
데이터 라벨링	라벨 유형별 단가 × 건수	기존: 해당 항목 없음	품질 검수 비용 별도 산정
모델 실험	실험 공수 × 인건비. GPU 사용료 직접비 계상	기존: 투입공수만 인정	실험 실패 공수도 인정
재학습 비용	연간 재학습 횟수 × 회당 비용으로 유지보수 계상	기존: 하자보수만 인정	데이터 드리프트 대응 비용
GPU 컴퓨팅	클라우드 GPU 실비 + 온프레미스 감가상각	기존: SW 개발엔 HW 비계상	클라우드 할인율 협상 필요

기능점수법 한계 및 AI 대가산정 원칙

기능점수법의 AI 적용 한계

기능점수(FP): 입출력·조회·파일 수 기반 산정 → AI 비정형 기능에 부적합
대안: 하이브리드 방식 — SW 개발부분은 FP, AI 특수부분은 실비정산
투입공수법: AI 실험 불확실성 반영 위해 실험 공수 별도 인정

AI 대가산정 3대 원칙

실비 원칙: 데이터·GPU 등 AI 특수 비용은 실비로 정산
불확실성 인정: 모델 성능 미달 시 재실험 공수 인정 조항
지속 비용: AI는 배포 후에도 재학습·모니터링 비용 발생
계약 유의: AI 성능 SLA(정확도·처리속도) 명확화 필수

💡 킬러 문장: "AI 대가산정의 핵심은 '실패도 비용'이라는 인식이다. 모델 실험의 불확실성과 지속적 재학습 비용을 인정하지 않으면 공공 AI 사업의 품질은 담보될 수 없다."

리스크 기반 테스트 (Risk-Based Testing, RBT)

위험도 우선순위로 테스트 자원 배분 · ISTQB 핵심 기법 · 결함 조기 발견

개념

정의: SW 제품의 실패 위험(Risk = 발생 가능성 × 영향도)을 분석하여 위험이 높은 기능부터 우선적으로 테스트하는 방법론. 제한된 테스트 시간·자원을 가장 중요한 결함 발견에 집중

근거: 결함은 균등 분포가 아니라 특정 모듈에 집중(Pareto 법칙) → 전체 테스트보다 위험 집중 테스트가 효율적

개념도 — RBT 프로세스

리스크 식별
제품·프로젝트
리스크 열거

→

리스크 분석
가능성×영향도
우선순위 결정

→

테스트 계획
고위험 우선
자원 배분

→

리스크 모니터
진행 중 재평가
잔존 위험 추적

주요 구성 요소 — "식분우대모잔"

두문자	단계	핵심 내용	실무 기법
식	리스크 식별	제품 리스크(결함 가능성)와 프로젝트 리스크(일정·자원) 구분	FMEA, 결함 이력 분석, 도메인 전문가 인터뷰
분	리스크 분석	Risk = 발생가능성(1~5) × 영향도(1~5). 리스크 매트릭스(Heat Map)로 시각화	5×5 리스크 매트릭스, FMEA RPN
우	우선순위 결정	High Risk → 집중 테스트. Low Risk → 최소 테스트	MoSCoW 우선순위, Risk Ranking
대	테스트 대응	고위험 항목에 탐색적 테스트·명세 기반 테스트 집중	경험 기반 테스트, 등가분할, 경계값
모	모니터링	테스트 진행 중 리스크 재평가. 새 리스크 발견 시 우선순위 조정	결함 밀도 분석, 리스크 버다운 차트
잔	잔존 리스크	테스트 종료 후 테스트하지 못한 저위험 항목의 잔존 리스크를 이해관계자에게 보고	리스크 기반 릴리즈 결정 보고서

일반 테스트 vs RBT 비교 및 AI 테스트 연계

일반 테스트 vs RBT

일반 테스트: 균등 커버리지 목표 → 시간 부족 시 임의 축소
RBT: 위험도 기반 선택적 집중 → 제한 자원으로 최대 품질

ISO 29119: RBT를 표준 테스트 프로세스로 채택
애자일 RBT: 스프린트마다 리스크 재평가 → 지속적 적응

AI 시스템 RBT 적용

AI 특수 리스크: 편향·환각·OOD 입력·적대적 예제
리스크 항목: 고위험 결정(의료진단·대출승인) → 집중 테스트
ISO 21448(SOTIF) 연계: 영역 2·4가 최고 리스크
데이터 리스크: 훈련-테스트 분포 불일치 리스크 별도 관리

💡 킬러 문장: "리스크 기반 테스트는 '모든 것을 테스트할 수 없다면, 가장 위험한 것부터 테스트하라'는 원칙이다. 결함은 균등하게 숨지 않는다."

고통의 피라미드 (Pyramid of Pain)

위협 인텔리전스 · 침해지표(IoC) 방어 효과 계층 · David Bianco 제안 · 2013

개념

정의: 보안 침해지표(IoC: Indicator of Compromise)의 공격자 변경 난이도에 따라 6단계로 분류한 위협 인텔리전스 프레임워크. David Bianco가 2013년 제안. 상위 계층의 침해지표를 차단할수록 공격자에게 더 큰 '고통'을 줌

핵심: IP 차단은 공격자가 쉽게 우회하지만, TTP(전술·기술·절차) 차단은 공격자의 운영 방식 자체를 변경해야 하므로 가장 효과적

개념도 — 고통의 피라미드 6계층

TTPs — 전술·기술·절차공격자 고통 최대 (Tough)

Tools — 악성코드·공격 도구도전적 (Challenging)

Network / Host Artifacts — 행위 흔적성가심 (Annoying)

Domain Names — C2 도메인성가심 (Annoying)

IP Addresses — 공격자 IP쉬움 (Simple)

Hash Values — 파일 해시매우 쉬움 (Trivial)

↑ 위로 갈수록 공격자 변경 비용↑ = 방어 효과↑

6계층 상세 및 MITRE ATT&CK 연계

계층	설명	공격자 변경 난이도	방어 기법
Hash Values	악성 파일의 MD5·SHA256 해시값. 1비트만 바꿔도 다른 해시	매우 쉬움 (1분 이내)	AV 시그니처 탐지 (전통 방어)
IP Addresses	공격 서버·C2 서버 IP. VPN·클라우드로 즉시 변경 가능	쉬움 (수 분)	IP 블랙리스트, 방화벽 차단
Domain Names	C2 도메인·피싱 도메인. 새 도메인 등록 비용 저렴	보통 (수 시간)	DNS 싱크홀, 도메인 블랙리스트
Artifacts	네트워크 트래픽 패턴, 레지스트리 키, 파일 경로 등 행위 흔적	성가심 (재코딩 필요)	SIEM 상관 분석, EDR 행위 탐지
Tools	악성코드·RAT·익스플로잇 도구. 새 도구 개발은 시간·비용 多	도전적 (주~월 단위)	샌드박스 분석, YARA 규칙
TTPs	공격자의 전술·기술·절차. MITRE ATT&CK 매핑. 변경 시 전략 재수립	매우 어려움 (조직 재편)	행위 기반 탐지, 위협 헌팅

MITRE ATT&CK 연계 및 선제적 보안

MITRE ATT&CK와 연계

ATT&CK: 공격자 TTP를 전술(14개)·기술(200+개)로 체계화
연계: 피라미드 최상위 TTP = ATT&CK의 Tactics·Techniques
활용: 탐지 규칙을 ATT&CK ID로 매핑 → 커버리지 가시화
D3FEND: 공격 기법에 대응하는 방어 기법 지식 그래프

선제적 보안과의 연결

전통 보안: 해시·IP 차단 = 사후 대응
선제적 보안: TTP 분석으로 공격 전 탐지·차단
위협 헌팅: 피라미드 상위를 표적으로 능동적 탐색
CTI 성숙도: 해시(초급) → TTP(고급) 수준이 높을수록 성숙한 보안

💡 킬러 문장: "고통의 피라미드는 보안의 투자 우선순위를 알려준다. IP 차단에 집중하는 것은 적이 옷만 갈아입어도 못 알아보는 것이다. TTPs를 차단해야 적의 전략을 무너뜨린다."

선제적 사이버보안 (Proactive Cybersecurity)

공격 전 탐지·차단 · 위협 인텔리전스·헌팅·레드팀 · 사후 대응에서 사전 예방으로

개념

정의: 침해가 발생한 후 대응하는 사후적(Reactive) 보안에서 벗어나, 위협이 실현되기 전에 적극적으로 탐지·예측·차단하는 보안 전략

패러다임 전환: Detect & Respond(탐지·대응) → Anticipate & Prevent(예측·예방). 제로데이·APT 등 고도화 위협에 전통 사후 보안의 한계 노출

개념도 — 선제적 보안 활동 체계

예측 (Anticipate) — 공격 전

위협 인텔리전스
(CTI)

→

공격 표면 관리
(ASM)

→

위협 헌팅
(Hunting)

검증 (Validate) — 지속 개선

레드팀
침투테스트

→

BAS
자동 모의해킹

→

CTEM
지속 노출 관리

주요 구성 요소 — "위공헌레침자"

두문자	기법	핵심 내용	도구·프레임워크
위	위협 인텔리전스 (CTI)	다크웹·OSINT·ISAC에서 공격자 TTP·IoC 수집·분석·공유. 공격 전 징후 포착	MISP, OpenCTI, FS-ISAC
공	공격 표면 관리 (ASM)	외부에서 공격자 시각으로 자산 발견·취약점 파악. 알려지지 않은 자산 식별	Shodan, Censys, Cortex Xpanse
헌	위협 헌팅	SIEM 데이터를 능동적으로 탐색하여 탐지 규칙을 우회한 잠복 위협 발굴	Elastic SIEM, Sigma Rules, YARA
레	레드팀	실제 APT 그룹 TTP를 모방한 지속적 공격 시뮬레이션. 블루팀 탐지력 검증	Cobalt Strike, MITRE ATT&CK 기반
침	침투 테스트	범위 정의 후 취약점 발굴·검증. 선제적 결함 제거. 정기적 수행	Metasploit, Burp Suite, OWASP
자	BAS·CTEM	BAS: 자동화 침투 시뮬레이션으로 지속 검증. CTEM: 전사 노출 관리 프로그램	SafeBreach, AttackIQ, Gartner CTEM

전통 보안 vs 선제적 보안 비교 및 국내 동향

사후 vs 선제적 보안

사후 보안: 침해 탐지 후 대응, IDS·방화벽 중심, 알려진 위협만 차단
선제적 보안: 침해 전 탐지·제거, 위협 인텔리전스·헌팅 중심, 미지 위협 대응

제로 트러스트 연계: "Never Trust, Always Verify" — 선제적 보안의 아키텍처 구현체
고통의 피라미드: TTP 차단 = 선제적 보안의 목표

국내 동향 및 제도

NCSC(국가사이버안보센터): 선제적 사이버보안 전략 2024 발표
금융보안원: F-ISAC 기반 CTI 공유 체계 운영
공공기관: 사이버위협 인텔리전스 공유 플랫폼(C-TAS) 의무 활용
버그바운티: 화이트해커 활용 선제적 취약점 발굴

💡 킬러 문장: "선제적 사이버보안은 성벽을 쌓고 기다리는 것이 아니라, 적의 진영에 먼저 들어가 계획을 파악하는 것이다. 공격자의 TTP를 알면, 공격이 시작되기 전에 막을 수 있다."